20.10.29 ( 뉴 노멀 시대 '제로 트러스트' 보안 전략, 건강한 보안 강화 3단계, 보건의료 데이터 활용 본격화 )

1. 뉴 노멀 시대, '제로 트러스트' 보안 전략 !

 

현재는 뉴 노멀 시대라고 합니다. 이는 업무에도 큰 영향을 미쳐 재택근무 및 클라우드 기반 기업용 서비스 이용이 늘어나고, 개인용 기기와 여러 모바일 애플리케이션을 업무에 이용하고 있습니다. 기존 업무공간의 경계가 회사라는 공간에서 집이나 카페 등 회사 밖으로 확장되었습니다.😀

 

이러한 변화에 맞춰 보안 패러다임도 전환될 필요성이 커졌다고 합니다. 최근 사이버 공격 동향을 보면 기업 네트워크나 서버를 공격하는 것을 넘어 다양한 영역을 노리는 추세라고 합니다. 반면, 기존 보안 패러다임은 새로운 형태의 공격에 대응하거나 방대한 양의 데이터를 처리하는데 적합하지 앟았다고 합니다. MS의 발표에 의하면 기존 기업이 새로운 유형의 보안 위협에 대응하는데 약 30억의 비용이 소요된다고 합니다.😮

 

새로운 형태의 위협에 대응하고 방대한 데이터를 처리하기 위해 보안에 인공지능과 자동화 도입이 필요하다고 합니다. 이러한 환경에는 제로 트러스트(Zero Trust, 직독하여 아무도 믿지 말라는 의미로, 기업 네트워크와 데이터에 접근하려는 기기 혹은 사람에 대해 적절한 인증 절차 없이는 권한을 주지 않는 것) 전략처럼 새로운 보안 원칙이 요구된다고 합니다. 제로 트러스트 전략은 보안보다는 신원 확인에 집중하는 형태이며, 오늘날 업무 환경에도 잘 어울린다고 합니다.😀

 

 

 

2. 건강한 보안 강화 3단계

 

ISEC 2020 현장에서 국가별 보안 현황을 가장 정확하게 파악할 수 있는 위치에 있는 몇 안되는 사람 중 한 명인 오비소 마르코(Obiso Marco)가 영상 기조연설을 진행했다고 합니다.

 

코로나 사태로 원격 강연을 진행하였고 모든 사람들이 안전한 통신 생활을 영위하도록 하려면 여러 방면에서의 노력이 이루어져야 보안이 완성된다고 강조했다고 합니다.😀

 

(1) 보안을 평가하기 휘해 꼭 살펴야 하는 5개 영역

 

앞에서 언급한 '여러 분야'란 GCI가 표방하는 5개 영역(법, 기술, 조직, 역량, 협업)을 말하는 것이라고 합니다. 이러한 영역들이 모두 필수적이라고 강조했다고 합니다.😀

 

- 국가적 차원에서는 안전한 통신을 제공하기 위해서는 통신 환경에서의 사이버 보안과 관련된 법

- 위협을 방비하고 대처할 수 있는 기술력

- 실제 행동을 취하려고 했을 때 구심점이 되어주는 조직의 존재

- 장기적인 역량 개발을 위한 노력

- 부드럽고 원활한 협업 체계

 

그리도 더불어 다음과 같이 언급했다고 합니다.

"이 5개 영역으로 보안의 전반적인 수준을 파악한다는 것에 이견이 있을 수 있으며, 다른 측정 방법이 존재하는 것도 사실입니다. 그러나 ITU 내부적으로는 이 5개 영역에서 기본적인 바탕이 이뤄져야 납득할만한 수준의 보안 체제가 마련된다고 보는 편입니다. 법이 마련되어 있는지, 기술력이 충분한지, CERT와 같은 조직이 존재하는지, 역량 개발을 위한 프로그램이 있는지, 협업이 잘 이뤄지는지 이걸 물어볼 수 밖에 없다는 것입니다"

그렇다 GCI가 5개의 질문으로 190이 넘는 ITU 회원국의 역량을 파악하는건 아니라고 합니다. GCI는 총 82개 문항이 있으며, 이 질문들은 주기적으로 관리되고 업데이트 된다고 합니다. 질문들은 회원국들에게 전달되고, 회원국들이 답을 보내면 ITU 내부에서 분석 작업이 이루어 진다고 합니다.

 

(2) 보안, 경제 언어로 말하라

 

강연을 통해 단순 평가가 GCI의 목적이 아니라고 강조를 했다고 합니다. 이는 현 상태를 파악하고, 잘 되고 잇는 케이스의 노하루를 비교적 잘 안되고 있는 국가에 공유하여 전체적인 보안 역량을 강화하는 것이며, GCI는 전세계 사람들을 이어주겠다는 ITU의 안전 장치와 같은 도구라고 언급했다고 합니다.

 

이런 GCI의 조사를 통해 한 가지 명확해 진 것은 국가의 보안 역량 강화가 국가 경쟁력과 직결된다는 사실이라고 합니다.😀

 

돈 많이 국가가 보안을 잘하는 것이 아닌 보안에 좀 더 신경을 쓰는 나라가 다른 조사 기관의 경쟁력 지표에서도 상위권을 유지하고 있다는 관계성이 드러났다고 합니다. 즉, 보안이 국가 차원에서의 경제적 역량과 밀접한 관계를 맺고 있다는 것을 언급했다고 하네요😁

 

CISO들에게 하는 조언 중 "일반 임원들에게 보안에 대해 설명할 때 '돈 액수' 혹은 '경제의 언어'로 하라" 라고 조언했다고 합니다. GCI가 국가 차원의 보안 강화를 위해 마련된 도구로서 효력을 발휘하려면 이런 경제적 지표와의 연관성이 반드시 필요하다고 합니다. 이후 GCI를 접한 국가들 사이에서 변화가 일어나기 시작했다고 합니다.😁

 

(3) 일으킨 변화를 자랑스러워하라

 

초기에는 사이버 보안 관련 법을 가진 국가가 많지 않았다고 합니다. 국가 차원에서 보안 정책과 프레임워크가 필요한데 초기에 이런 장치를 갖춘 나라는 100개 미만이었지만, 현재는 107개국까지 늘어났다고 합니다.

 

그러나 아쉬운건 아직 대화가 현저히 부족한 것이라고 합니다. 국가 간 수사 공조 등의 협력 체계는 크게 발전했지만, 국가 내 정부 기관들과 민간 업체, 시민 단체 사이의 대화는 아직도 거의 일어나지 않고 있다고 합니다.🤨

 

 

 

3. 보건의료 데이터 활용 본격화

 

보건복지부는 안전한 가명정보의 결합 활용을 지원하기 위해 보건의료분야 결합 전문 기관 3곳을 지정한다고 밝혔다고 합니다.

 

그간 현장 활용 수요에 대응하기 위해 각기 다른 기관의 자료 결합 활용이 필수적임에도 법적 근거 미흡으로 활용이 어려웠으나, 개인정보보호법 개정으로 가명정보 결합 활용이 가능해져 전문기관의 안전한 결합, 반출업무 수행이 매우 중요해졌다고 합니다.

 

전문기관은 개인정보보호법 제28조의 3, 동 법 시행령 및 관련 고시에 따라 지정 기준을 충족하는 경우 개인정보보호위원회 또는 관계 중앙행정기관의 장이 지정할 수 있다고 합니다.

 

보건복지부는 사회적 우려 불식을 위해 산하 공공기관을 대상으로 보건의료분야 전문기관을 우선 지정하게 되었으며, 국민건강보험공단, 건강보험심사평가원, 한국보건산업진흥원 3개 기관이 보건의료분야의 가명정보 결합업무를 수행하게 된다고 합니다.😀

 

가명 정보 결합 활용은 보건복지부가 정부 최초로 공개한 '보건의료 데이터 활용 가이드라인'에서 제시된 가명 정보 결합 활용절차에 따라 시행된다고 합니다. 구체적 절차를 살펴보게되면, 여러 가지 보건의료 데이터를 결합 활용하고자 하는 기관에서 개별 보건의료 데이터 보유기관의 활용심의를 거쳐 가명 정보 결합신청서를 전문기관으로 제출하고, 전문기관은 결합 적정성을 검토한 후 결합 수행, 반출심의위원회를 거쳐 결합된 정보를 제공한다고 합니다.

 

의료기관은 다양한 기관과의 협업을 통한 가명 정보 결합, 분석이 가능하게 되어 빅데이터에 근거하여 의료 질 향상에 기여할 수 있고, 산업계에서는 결합정보를 바탕으로 신약, 융합형 의료기기, 유망 서비스 개발이 가속화 될 것으로 보인다고 합니다.😀

 

아울러, 정부 및 공공기관에서는 가명 정보의 결합 및 활용을 통해 데이터에 기반한 예방적 공공정책 수립과 정밀한 정책 효과성 평가 등이 가능할 것으로 기대된다고 합니다.

 

방대한 건강보험 빅데이터의 손쉬운 활용을 돕기 위해 정보제공과 결합 활용 삼당 등을 지원하는 빅데이터 큐레이팅 시스템을 도입할 예정이며, 가명 데이터 제공자와 사용자간 권리, 의무관계 및 개인정보보호 책임을 분명히 하기 위해 가명정보 활용 표준 계약서를 제시하고, 데이터 심의위원회 표준 운영모델 등을 마련하여 소규모 기관의 가명정보 제공시스템 구축을 지원할 것이라고 합니다.😁

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

출처

www.boannews.com/media/view.asp?idx=92165&page=2&mkind=1&kind=3

뉴 노멀 시대, ‘제로 트러스트’ 보안 전략을 기억하라

www.boannews.com/media/view.asp?idx=92193&page=1&mkind=1&kind=4

국제 보안 평가기관 수장이 말하는 건강한 보안 강화 3단계

www.dailysecu.com/news/articleView.html?idxno=115741

보건복지부, 가명정보 결합 전문기관 3곳 지정…보건의료 데이터 활용 본격화 - 데일리시큐